Вернуться: к Проекту «Многие грани безопасности" / Нормативная база по безопасности / Международные нормативно-правовые акты по безопасности / Управление информационной безопасностью

Раздел 10 Выполнение требований

Выполнение правовых требований

Цель: Избежать нарушения правовых обязательств и обязательств по соблюдению уголовного и гражданского права, а также обеспечить выполнение требований к информационной безопасности.

На разработку, сопровождение и использование информационных систем могут быть наложены правовые и договорные требования к безопасности.

Все правовые и договорные требования, имеющие отношение к безопасности, необходимо определить в явном виде и задокументировать для каждой информационной системы. Необходимо также определить и задокументировать конкретные средства контроля, меры противодействия и обязанности для выполнения этих требований.

При задании конкретных правовых требований следует обратиться за советом к консультантам организации, занимающимся правовыми вопросами. Следует учесть, что требования законодательства в разных странах разные.

Контроль за копированием ПО, защищенного законом об авторском праве

Следует принять во внимание ограничения, накладываемые действующим законодательством на использование материалов, защищенных законом об авторском праве.

Правовые и договорные требования могут наложить ограничения на копирование программ. В частности, от пользователей могут потребовать, чтобы они применяли только те программы, которые разработаны организацией, или лицензионное программное обеспечение.

Программные продукты обычно поставляются в соответствии с лицензионным соглашением, которое ограничивает их использование определенными машинами и может ограничить процесс копирования созданием только резервных копий. Необходимо учитывать следующее:

а) Политика организации должна запрещать копирование материала, защищенного законом об авторском праве, без согласия его владельца;

б) Пользователям должно быть рекомендовано не нарушать эту политику посредством копирования программ с одной машины на другую без письменной санкции их владельца.

в) Копирование патентованного программного обеспечения или программ организации для использования на компьютерах, которые не принадлежат организации, для целей, не связанных с основной рабочей деятельностью, может также привести к нарушению закона об авторском праве и политики организации.

г) В тех случаях, когда необходимо инсталлировать программный продукт на дополнительных машинах, следует включить соответствующий пункт в лицензионное соглашение или закупить дополнительные копии.

д) Необходимо регулярно проверять использование программного обеспечения и вести надлежащий учет.

Нарушение закона об авторском праве может привести к судебным разбирательствам и даже к возбуждению уголовного дела.

Защита документации организации

Важные для организации документы необходимо защищать от потери, уничтожения и подделки. Некоторые документы могут потребовать хранения в защищенном месте для удовлетворения правовых требований, а также для поддержки основных производственных работ.

Примечание. Примерами этого являются документы, которые могут потребоваться в качестве свидетельства того, что организация работает в соответствии с правовыми нормами, или для обеспечения надлежащей защиты от возможных гражданских или уголовных исков, или для подтверждения финансового состояния организации по отношению к держателям акций, партнерам и аудиторам.

Целесообразно уничтожить документацию, которая храниться дольше предписываемого законом времени, в случае, когда это не будет иметь пагубные последствия для работы организации.

Для выполнения этих обязательств организация должна предпринять следующее:

а) Подготовить инструкции по хранению и обращению с документацией и информацией, а также их уничтожению.

б) Составить план-график, в котором определяются основные типы документов и сроки их хранения.

в) Проводить инвентаризацию всех источников основной информации.

г) Реализовать надлежащие меры по защите основной документации и информации от потери, уничтожения и подделки.

Защита данных

Во многих странах персональные данные (о лицах, которых можно идентифицировать по ним), хранимые или обрабатываемые на компьютере, попадают под законодательство о защите информации. В Великобритании действует закон о защите данных от 1984 года. Примерами других стран, где действует такое законодательство, являются большинство стран Западной Европы и Северной Америки, а также Австралия, Новая Зеландия, Израиль и Япония.

Соблюдение законодательства о защите информации требует определенное структурирование руководства и контроль. Это зачастую достигается посредством назначения сотрудника, отвечающего за защиту данных, который дает рекомендации администраторам, пользователям и поставщикам услуг по распределению обязанностей и использованию конкретных процедур. В круг обязанностей владельца данных должны входить доведение предложений о хранении персональной информации на компьютере до сведения сотрудника, отвечающего за защиту данных, и обеспечение знания и понимание принципов защиты информации, определенных в действующем законодательстве.

В законе о защите данных от 1984 года излагаются восемь принципов, которые применимы ко всем системам, обрабатывающим персональную информацию. Они перечислены ниже:

• Первый принцип

  Необходимо предоставлять доступ к информации, содержащейся в персональных данных, и обрабатывать персональные данные на законном основании и в соответствии с принципами справедливости.

• Второй принцип

  Персональные данные следует хранить только для определенных, законных целей.

• Третий принцип

  Персональные данные, хранимые для тех или иных целей, не следует использовать или раскрывать способом, который несовместим с этими целями.

• Четвертый принцип

  Персональные данные, хранимые для тех или иных целей, должны быть адекватны этим целям и не должны быть избыточными по отношению к ним.

• Пятый принцип

  Персональные данные должны быть точными и по необходимости свежими.

• Шестой принцип

  Персональные данные, хранимые для тех или иных целей, не следует хранить дольше, чем это необходимо для этих целей.

• Седьмой принцип

  Сотрудник должно иметь право:

  а) а. через разумные промежутки времени и без задержек:

  • получать информацию от пользователя данных о том, хранит ли он персональные данные, субъектом которых является данный сотрудник;
  • доступа к таким данным, хранимых пользователем;

  б) по необходимости исправлять или стирать такие данные.

• Восьмой принцип

  Следует принять надлежащие меры по защите персональных данных от несанкционированного доступа, их изменения, раскрытия и уничтожения, а также от их случайной потери или уничтожения.

Предотвращение незаконного использования информационных ресурсов

Информационные ресурсы организации предоставляются для производственных целей. Их использование должно быть санкционировано руководством. Использование этих ресурсов для целей, не связанных с основной работой организации, или для несанкционированных целей без утверждения руководства и процедур учета следует рассматривать как незаконное использование информационных ресурсов. При выявлении таких случаев с помощью средств отслеживания действий или других средств, их следует довести до сведения соответсвующего руководства для наложения дисциплинарных взысканий.

Многие страны приняли или находяться в процессе принятия законодательства о защите от незаконного использования компьютеров. Использование компьютера для незаконных целей можно считать уголовным преступлением. Поэтому крайне важно, чтобы все пользователи получили письменную санкцию на доступ, который им разрешается. Сотрудников организации и пользователей со стороны следует предупредить, что они не имеют право доступа, кроме случаев, которые формально санкционированы и задокументированы.

Примечание. В Великобритании закон о незаконном использовании компьютеров от 1990 года вводит следующие уголовные преступления: несанкционированный доступ с целью совершения более серьезного преступления и несанкционированная модификация компьютерных данных.

Проверка безопасности информационных систем

Цель: Обеспечить соответствие систем политике и стандартам безопасности организации.

Безопасность информационных систем необходимо регулярно проверять.

Такие проверки следует проводить исходя из соответствующей политики безопасности, а технические платформы и информационные системы необходимо проверять на соответствие принятым стандартами обеспечения безопасности.

Соответствие политике безопасности

Все подразделения организации следует регулярно проверять, чтобы обеспечить соответствие принятой политике и стандартам безопасности. Проверке подлежат:

а) информационные системы и их поставщики;

б) информация и владельцы данных;

в) пользователи;

г) руководство.

Владельцы информационных систем (см. Ответственность за ресурсы) должны организовывать регулярные проверки своих систем на соответствие принятой политике безопасности, стандартам и другим требованиям к их защите.

Примечание. Текущий контроль за использованием систем описан в документе Слежение за доступом к системам и их использованием.

Техническая проверка на соответствие стандартам безопасности

Информационные ресурсы необходимо регулярно проверять на соответствие стандартам обеспечения безопасности. Техническая проверка на такое соответствие включает в себя осмотр рабочих систем, чтобы гарантировать правильную реализацию средств управления безопасностью программного и аппаратного обеспечения. Этот вид проверки требует обращения за технической помощью к специалистам. Такая проверка должна проводиться опытным системным инженером вручную или автоматически с помощью пакета программ, который создает технический отчет для последующей обработки техническим специалистом.

Такие проверки должны проводиться только компетентными законными лицами или под их наблюдением.

Аудит систем

Цель: Свести вмешательство в процесс аудита систем к минимуму.

Необходимо иметь средства контроля для защиты рабочих систем и средств аудита во время их проверки.

Защита также требуется для обеспечения целостности средств аудита и предотвращения их несанкционированного использования.

Средства аудита систем

Для сведения риска возникновения сбоев в производственных процессах к минимуму требования к аудиту и работы, связанные с проверкой рабочих систем, следует аккуратно запланировать и согласовать. Предлагается рассмотреть следующее:

а) Требования к аудиту систем должны быть согласованы с соответствующим руководством.

б) Масштаб проверок необходимо согласовать и контролировать.

в) Проверки должны быть ограничены доступом к данным и программам только на чтение.

г) Другие типы доступа (отличные от доступа только на чтение) должны быть разрешены для отдельных копий системных данных, которые необходимо стереть по завершении процесса аудита.

д) Необходимо явно идентифицировать информационные ресурсы для проведения проверок и сделать их доступными.

е) Необходимо определить требования к специальной или дополнительной обработке и согласовать их с поставщиками услуг.

ж) Все случаи доступа следует отслеживать и фиксировать в контрольном журнале для справок.

з) Все процедуры, требования и обязанности необходимо задокументировать.

Защита средств аудита систем

Доступ к средствам аудита систем, т.е. к программам и файлам данных необходимо защищать, чтобы предотвратить их возможное несанкционированное использование или компрометацию. Такие средства следует изолировать от разрабатываемых и рабочих систем, и их не следует хранить в библиотеках магнитных лент и на рабочих местах пользователей, если они не обеспечены надлежащей дополнительной защитой.